La brecha puede haber afectado a más sitios de Ticketmaster, dicen los investigadores.
El grupo criminal detrás de la reciente violación de datos en ciertos sitios web de Ticketmaster también pudo haber recogido la tarjeta de pago y los datos personales de quienes usan los sitios de la compañía en Australia, Nueva Zelanda, Turquía y Hungría, según RiskIQ, que dice que los skimmers de tarjetas de pago digitales del grupo también puede afectar a otros 800 sitios de comercio electrónico.
La compañía de segurid RiskIQ ha estado rastreando a Magecart, el grupo criminal que se especializa en skimmers digitales, o código diseñado para deslizar la información revelada durante las transacciones de comercio electrónico.
La compañía de segurid RiskIQ ha estado rastreando a Magecart, el grupo criminal que se especializa en skimmers digitales, o código diseñado para deslizar la información revelada durante las transacciones de comercio electrónico.
Como parte de su investigación Ticketmaster, RiskIQ dice que determinó que Magecart parece haber comprometido varias herramientas de terceros utilizadas por hasta 800 sitios web de comercio electrónico. Los proveedores afectados incluyen PushAssist, Clarity Connect y Annex Cloud, según RiskIQ.
"Si bien Ticketmaster recibió la publicidad y atención, el problema Magecart se extiende mucho más allá de Ticketmaster", dice Yonathan Yonathan Klinjnsma, un investigador de amenazas RiskIQ.
Magecart, que ha estado activo desde 2015, ha refinado sus tácticas, dice RiskIQ en una publicación de blog. Entre ellos se incluye una táctica utilizada por otros actores malos: dirigirse a proveedores de software de terceros populares, que pueden permitir compromisos a gran escala, afirma Ross Brewer, director general de LogRhythm para EMEA.
"Los hackers son gente persistente e inteligente que se han dado cuenta de que perseguir a los tipos grandes que tienen una variedad de sofisticadas herramientas de seguridad en su lugar no es tarea fácil", dice Brewer. "En cambio, están redirigiendo su atención a proveedores más pequeños, de terceros, que pueden actuar como una puerta de acceso a objetivos más lucrativos".
"Si bien Ticketmaster recibió la publicidad y atención, el problema Magecart se extiende mucho más allá de Ticketmaster", dice Yonathan Yonathan Klinjnsma, un investigador de amenazas RiskIQ.
Magecart, que ha estado activo desde 2015, ha refinado sus tácticas, dice RiskIQ en una publicación de blog. Entre ellos se incluye una táctica utilizada por otros actores malos: dirigirse a proveedores de software de terceros populares, que pueden permitir compromisos a gran escala, afirma Ross Brewer, director general de LogRhythm para EMEA.
"Los hackers son gente persistente e inteligente que se han dado cuenta de que perseguir a los tipos grandes que tienen una variedad de sofisticadas herramientas de seguridad en su lugar no es tarea fácil", dice Brewer. "En cambio, están redirigiendo su atención a proveedores más pequeños, de terceros, que pueden actuar como una puerta de acceso a objetivos más lucrativos".
Chatbot infectado
Ticketmaster advirtió el 28 de junio que el código malicioso había sido plantado en el software de chatbot de soporte al cliente automatizado de Inbenta Technologies. El código recolectó nombres, direcciones, direcciones de correo electrónico, números de teléfono, detalles de pago y detalles de inicio de sesión de Ticketmaster (ver Ticketmaster Trazos de violación al software Embedded Chatbot).
Los clientes afectados fueron aquellos que compraron o intentaron comprar boletos usando Ticketmaster International, Ticketmaster U.K., GETMEIN de la compañía. y sitios web TicketWeb, dijo en un aviso. El compromiso se produjo entre febrero y el 23 de junio. Los clientes de América del Norte no se vieron afectados.
Tickemaster posteriormente deshabilitó el software de Inbenta en sus sitios web. También envió avisos de restablecimiento de contraseña a los afectados y ofreció un año de monitoreo gratuito de robo de identidad.
Inbenta sugirió en una declaración que Ticketmaster tenía la culpa. Ibenta dice que Ticketmaster aplicó directamente un script a su página de pagos que Inbenta había modificado a petición de la empresa sin decirle a Inbenta.
"Si hubiéramos sabido que el script personalizado se estaba utilizando de esta manera, habríamos desaconsejado, ya que implica un mayor riesgo de vulnerabilidad", dijo Inbenta. "Los atacantes localizaron, modificaron y usaron este script para extraer la información de pago de los clientes de Ticketmaster".
Ticketmaster advirtió el 28 de junio que el código malicioso había sido plantado en el software de chatbot de soporte al cliente automatizado de Inbenta Technologies. El código recolectó nombres, direcciones, direcciones de correo electrónico, números de teléfono, detalles de pago y detalles de inicio de sesión de Ticketmaster (ver Ticketmaster Trazos de violación al software Embedded Chatbot).
Los clientes afectados fueron aquellos que compraron o intentaron comprar boletos usando Ticketmaster International, Ticketmaster U.K., GETMEIN de la compañía. y sitios web TicketWeb, dijo en un aviso. El compromiso se produjo entre febrero y el 23 de junio. Los clientes de América del Norte no se vieron afectados.
Tickemaster posteriormente deshabilitó el software de Inbenta en sus sitios web. También envió avisos de restablecimiento de contraseña a los afectados y ofreció un año de monitoreo gratuito de robo de identidad.
Inbenta sugirió en una declaración que Ticketmaster tenía la culpa. Ibenta dice que Ticketmaster aplicó directamente un script a su página de pagos que Inbenta había modificado a petición de la empresa sin decirle a Inbenta.
"Si hubiéramos sabido que el script personalizado se estaba utilizando de esta manera, habríamos desaconsejado, ya que implica un mayor riesgo de vulnerabilidad", dijo Inbenta. "Los atacantes localizaron, modificaron y usaron este script para extraer la información de pago de los clientes de Ticketmaster".
Scripts sigilosos
Pero RiskIQ dice que ha identificado códigos maliciosos dentro de un servicio diferente de marketing y análisis de terceros utilizado por Ticketmaster. El servicio es desarrollado por una compañía llamada SociaPlus.
"Este proveedor también fue violado por los actores de Magecart, y las secuencias de comandos que sirvieron a los clientes se modificaron en subdominios configurados específicamente para Ticketmaster como cliente", dice RiskIQ. "Observamos instancias en diciembre de 2017 hasta enero de 2018, donde el skimmer Magecart se agregó a uno de los scripts de SociaPlus y luego se inyectó en varios sitios web de Ticketmaster".
Pero RiskIQ dice que ha identificado códigos maliciosos dentro de un servicio diferente de marketing y análisis de terceros utilizado por Ticketmaster. El servicio es desarrollado por una compañía llamada SociaPlus.
"Este proveedor también fue violado por los actores de Magecart, y las secuencias de comandos que sirvieron a los clientes se modificaron en subdominios configurados específicamente para Ticketmaster como cliente", dice RiskIQ. "Observamos instancias en diciembre de 2017 hasta enero de 2018, donde el skimmer Magecart se agregó a uno de los scripts de SociaPlus y luego se inyectó en varios sitios web de Ticketmaster".
RiskIQ dice que encontró el código de skimming incrustado con los scripts de SociaPlus utilizados por Ticketmaster. (Fuente: RiskIQ)
Las secuencias de comandos de SociaPlus ya no parecen contener el código malicioso, dice RiskIQ, "pero no sabemos si Ticketmaster o SociaPlus están al tanto de esta violación o si han tenido un debate mutuo al respecto".
Los esfuerzos para llegar a los funcionarios de Ticketmaster y SociaPlus no tuvieron éxito de inmediato.
Objetivo: Compromiso masivo
El grupo Magecart continúa mejorando sus skimmers digitales, así como su orientación, dice RiskIQ. Anteriormente se dirigía a sitios web de uno en uno para comprometer y establecer su código de skimming.
"Han descubierto que es más fácil comprometer a terceros proveedores de scripts y agregar su skimmer", escribe la compañía. "En algunos casos, comprometer a uno de estos proveedores les da casi 10,000 víctimas instantáneamente".
Las secuencias de comandos de SociaPlus ya no parecen contener el código malicioso, dice RiskIQ, "pero no sabemos si Ticketmaster o SociaPlus están al tanto de esta violación o si han tenido un debate mutuo al respecto".
Los esfuerzos para llegar a los funcionarios de Ticketmaster y SociaPlus no tuvieron éxito de inmediato.
Objetivo: Compromiso masivo
El grupo Magecart continúa mejorando sus skimmers digitales, así como su orientación, dice RiskIQ. Anteriormente se dirigía a sitios web de uno en uno para comprometer y establecer su código de skimming.
"Han descubierto que es más fácil comprometer a terceros proveedores de scripts y agregar su skimmer", escribe la compañía. "En algunos casos, comprometer a uno de estos proveedores les da casi 10,000 víctimas instantáneamente".
Seguir en twitter: @disoftin
0 Comentarios